Russian Users MikroTik | Форум пользователей MikroTik

Тоже побаиваюсь советовать, но хочу так, мелочь посоветовать...
А проверьте, в линуксе включена ли опция: IP_FORWARD (sysctl.conf)?

Так, никто ничего не боится.

Козак ничего бояться не должен!

Так как именно эта связка под руками, всегда в доступе и даже может быть временно обрушена, можно пробовать любые, самые дикие предположения

Код: Выделить всё

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

Включено вроде как

НАТов на Дебиане тоже нету в настройках? (для этих сетей)?
Ну а вдруг случайно заНАЧиваются...

Код: Выделить всё

 iptables -t  nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

проверьте еще конфиг openvpn сервера, должна присутствовать опция client-to-client разрешающая маршрутизацию между клиентами.

На линуксе проверить включен ли внутренний форвардинг.
Зависит от дистрибутива, но в общем случае
Поищите в гугле "название дистрибутива net.ipv4.ip_forward = 1"

Еще вариант проверить настройку SELinux

И напоследок проверить возможность внутренней маршрутизации до адреса xxx.xxx.xxx.xxx командой
ip route get xxx.xxx.xxx.xxx

kt72ru писал(а):проверьте еще конфиг openvpn сервера, должна присутствовать опция client-to-client разрешающая маршрутизацию между клиентами.

Есть такая настройка, включена.

Dormidon писал(а):На линуксе проверить включен ли внутренний форвардинг.

Четыре поста назад уже указывал, включено
SELinux в Debian вроде как практически заброшен и давно отключен по-дефолту. Я им не пользуюсь.

Dormidon писал(а):И напоследок проверить возможность внутренней маршрутизации до адреса xxx.xxx.xxx.xxx командой
ip route get xxx.xxx.xxx.xxx

Вот это спасибо, немного поменял конфиг, дописал роуты во все сети,

Код: Выделить всё

~#ip route get 192.168.100.10
192.168.100.10 via 10.8.0.2 dev tun0 src 10.8.0.1 
    cache 
~#ip route get 192.168.88.250
192.168.88.250 via 10.8.0.2 dev tun0 src 10.8.0.1 
    cache

Внимательно присмотрелся, а у меня маршруты какие-то не такие после перезагрузки. Где-то ошибка;

Код: Выделить всё

ip route show
default via 188.166.0.1 dev eth0 onlink 
10.8.0.0/24 via 10.8.0.2 dev tun0 
10.8.0.2 dev tun0 proto kernel scope link src 10.8.0.1 
10.18.0.0/16 dev eth0 proto kernel scope link src 10.18.0.5 
188.166.0.0/18 dev eth0 proto kernel scope link src 188.166.48.225 
192.168.88.0/24 via 10.8.0.2 dev tun0 
192.168.100.0/24 via 10.8.0.2 dev tun0

Почему-то везде фигурирует в качестве шлюза 10.8.0.2. Кто скажет, где я косячу? В конфиге вроде негде там?

Код: Выделить всё

port 1194
proto tcp
dev tun
ca /etc/openvpn/.keys/ca.crt
cert /etc/openvpn/.keys/DigOceanServer.crt
key /etc/openvpn/.keys/DigOceanServer.key  # This file should be kept secret
dh /etc/openvpn/.keys/dh2048.pem
server 10.8.0.0 255.255.255.0
route 192.168.88.0 255.255.255.0
route 192.168.100.0 255.255.255.0
client-config-dir .ccd
client-to-client
keepalive 10 120
cipher AES-256-CBC   # AES
auth sha1
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log  /var/log/openvpn.log
verb 3

С маршрутами на openvpn сервере у вас все в порядке. А вот с адресацией нет. Адрес 10.8.0.2 не может использоваться Микротиком, это служебный адрес.
Адреса 10.8.0.2 и 10.8.0.3 Микротикам выдал openvpn сервер автоматом или вы назначили руками?

Russian Users MikroTik | Форум пользователей MikroTik

Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.

Re: Маршрутизация на туннеле.